Accesso ai modelli di fondazione Amazon Bedrock - Amazon Bedrock
Concedi le autorizzazioni per richiedere l’accesso ai modelli di fondazione con un ID prodottoGestisci l'accesso ai modelli tramite SDK e CLIAccedi ai modelli Amazon Bedrock Foundation in AWS GovCloud (Stati Uniti)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accesso ai modelli di fondazione Amazon Bedrock

L’accesso a tutti i modelli di fondazione Amazon Bedrock è abilitato per impostazione predefinita con le autorizzazioni AWS Marketplace corrette. Per iniziare, è sufficiente selezionare un modello dal catalogo modelli nella console Amazon Bedrock e aprirlo nell'area giochi o richiamare il modello utilizzando le operazioni API InvokeModelo Converse. Per informazioni sui diversi modelli supportati in Amazon Bedrock, consulta Informazioni sul modello di fondazione Amazon Bedrock. Per ulteriori informazioni sul modello dei prezzi, consulta Prezzi di Amazon Bedrock.

L’accesso a tutti i modelli di fondazione Amazon Bedrock è abilitato per impostazione predefinita con le autorizzazioni AWS Marketplace corrette in tutte le Regioni AWS commerciali. Per l'accesso programmatico a modelli di terze parti, consulta. Gestisci l'accesso ai modelli tramite SDK e CLI

Nota

Anthropic richiede ai nuovi clienti di inviare i dettagli del caso d’uso prima di invocare un modello una volta per account o una volta nell’account di gestione dell’organizzazione. Puoi inviare i dettagli del caso d’uso selezionando un modello Anthropic dal catalogo dei modelli nella console Amazon Bedrock o tramite chiamata del comando API PutUseCaseForModelAccess. L’accesso al modello viene concesso immediatamente dopo l’invio corretto dei dettagli del caso d’uso. L'invio del modulo dall'account root verrà ereditato da altri account della stessa organizzazione. AWS

Nota

Per i modelli 3P, acquistando invoking/using il modello per la prima volta si accetta il Contratto di licenza con l'utente finale applicabile. Per ulteriori informazioni, consulta i Termini di servizio di AWS e i contratti di licenza del modello serverless di terze parti.

Le organizzazioni che devono leggere e accettare l’EULA prima di consentire l’utilizzo del modello devono:

  1. Bloccare inizialmente l’accesso al modello utilizzando le policy di controllo dei servizi o le policy IAM

  2. Consultare i termini dell’EULA

  3. Abilita l'accesso al modello tramite SCP/IAM le politiche solo se accetti i termini dell'EULA

Argomenti

Concedi le autorizzazioni IAM per richiedere l’accesso ai modelli di fondazione Amazon Bedrock con un ID prodotto

Puoi gestire le autorizzazioni di accesso al modello creando policy IAM personalizzate. Per modificare l'accesso ai modelli di base di Amazon Bedrock, devi prima allegare una policy IAM basata sull'identità con Marketplace AWS le seguenti azioni al ruolo IAM che consente l'accesso ad Amazon Bedrock.

Quando richiami per la prima volta un modello serverless Amazon Bedrock servito da Marketplace AWS un account, Bedrock tenta di abilitare automaticamente il modello per il tuo account. Affinché questa attivazione automatica funzioni, sono necessarie le Marketplace AWS autorizzazioni.

Se non puoi assumere Marketplace AWS l'autorizzazione, qualcuno con Marketplace AWS le autorizzazioni deve abilitare il modello per l'account una sola volta (manualmente o tramite attivazione automatica). Una volta abilitato, tutti gli utenti dell'account possono richiamare il modello senza bisogno di autorizzazioni. Marketplace AWS Gli utenti non hanno bisogno delle autorizzazioni di Marketplace AWS abbonamento per richiamare i modelli dopo che sono stati abilitati. Queste autorizzazioni sono necessarie solo la prima volta che un modello viene utilizzato in un account.

L’accesso ai modelli di fondazione serverless di Amazon Bedrock con un ID di prodotto è controllato dalle seguenti azioni IAM:

Azione IAM Description A quali modelli si applica
aws-marketplace:Subscribe

Consente a un'entità IAM di abbonarsi a Marketplace AWS prodotti, inclusi i modelli Amazon Bedrock Foundation.

 Solo i modelli serverless di Amazon Bedrock con un ID prodotto in Marketplace AWS.
aws-marketplace:Unsubscribe Consente a un'identità IAM di annullare l'iscrizione ai Marketplace AWS prodotti, inclusi i modelli Amazon Bedrock Foundation. Solo i modelli serverless di Amazon Bedrock con un ID prodotto in Marketplace AWS.
aws-marketplace: ViewSubscriptions Consente a un'identità IAM di restituire un elenco di Marketplace AWS prodotti, inclusi i modelli Amazon Bedrock Foundation. Solo i modelli serverless di Amazon Bedrock con un ID prodotto in Marketplace AWS.
Nota

Solo per questa azione aws-marketplace:Subscribe, puoi utilizzare il tasto di condizione aws-marketplace:ProductId per limitare la sottoscrizione a modelli specifici.

Affinché un’identità IAM richieda l’accesso ai modelli con un ID prodotto

L’identità deve avere una policy allegata che abiliti aws-marketplace:Subscribe.

Nota

Se un'identità ha già sottoscritto un modello in una AWS regione, il modello diventa disponibile per consentire all'identità di richiedere l'accesso in tutte le AWS regioni in cui il modello è disponibile, anche se aws-marketplace:Subscribe viene negato in altre regioni.

Per informazioni sulla creazione della policy, consulta Ho già un Account AWS.

Solo per questa azione aws-marketplace:Subscribe, puoi utilizzare il tasto di condizione aws-marketplace:ProductId per limitare la sottoscrizione a modelli specifici.

Nota

I modelli dei seguenti fornitori non vengono venduti Marketplace AWS e non dispongono di codici prodotto, quindi non è possibile definire le aws-marketplace azioni relative a tali modelli:

  • Amazon

  • DeepSeek

  • Mistral AI

  • Meta

  • Qwen

  • OpenAI

Tuttavia, puoi impedire l'utilizzo di questi modelli negando le azioni di Amazon Bedrock e specificando questi modelli sul IDs campo. Resource Per vedere un esempio, consulta Impedire a un’identità di utilizzare un modello dopo che l’accesso è già stato concesso.

Seleziona una sezione per visualizzare esempi di policy IAM per un caso d’uso specifico:

Impedisci a un’identità di richiedere l’accesso a un modello con un ID prodotto

Per impedire a un’entità IAM di richiedere l’accesso a un modello specifico dotato di un ID prodotto, allega all’utente una policy IAM che neghi l’azione aws-marketplace:Subscribe e definisca l’ambito del campo Condition per l’ID prodotto del modello.

Ad esempio, puoi collegare la seguente policy a un’identità per impedirle di effettuare la sottoscrizione al modello Anthropic Claude 3.5 Sonnet:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "aws-marketplace:Subscribe"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws-marketplace:ProductId": [
                        "prod-m5ilt4siql27k"
                    ]
                }
            }
        }
    ]
}
Nota

Con questa policy, l’entità IAM avrà accesso a tutti i nuovi modelli aggiunti per impostazione predefinita.

Se l’identità ha effettuato la sottoscrizione al modello in almeno una Regione, questa policy non impedisce l’accesso ad altre Regioni. Puoi invece impedirne l’utilizzo visualizzando l’esempio in Impedire a un’identità di utilizzare un modello dopo che l’accesso è già stato concesso.

Impedire a un’identità di utilizzare un modello dopo che l’accesso è già stato concesso

Se a un’identità IAM è già stato concesso l’accesso a un modello, puoi impedirne l’utilizzo negando tutte le azioni di Amazon Bedrock e definendo l’ambito del campo Resource all’ARN del modello di fondazione.

Ad esempio, puoi associare la seguente policy a un'identità per impedirle di utilizzare il Anthropic Claude 3.5 Sonnet modello in tutte le regioni: AWS

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "bedrock:*"
            ],
            "Resource": [
                "arn:aws:bedrock:*::foundation-model/anthropic.claude-3-5-sonnet-20240620-v1:0"
            ]
        }
    ]
}

Gestisci l'accesso ai modelli tramite SDK e CLI

L'accesso al modello può essere gestito utilizzando SDK oltre a richiamare il modello. I passaggi seguenti possono essere utilizzati per l'accesso al create/delete modello e per verificare se l'accesso esiste già o meno. Nota che questo è applicabile solo ai modelli di terze parti.

Segui questi passaggi per gestire l'accesso al modello a livello di codice:

Prerequisiti

  • Allega la AmazonBedrockFullAccesspolicy all'IAM user/role utilizzato per l'SDK/CLI.

  • Configurazione SDK Bedrock: configura l'SDK AWS per Amazon Bedrock

    Nota: le istruzioni riportate di seguito utilizzano python3 per gli esempi

  • Nota il ModelID del modello per il quale è necessario gestire l'accesso.

Fase 1: Elenca le offerte del contratto modello di base

Utilizza questa API per ottenere le offerte contrattuali per un particolare modello. Ciò fornirà l'OfferToken utilizzato per creare l'accesso al modello nei passaggi successivi.

Documentazione

AWS CLI
aws bedrock list-foundation-model-agreement-offers --model-id <ModelId>
Python
# Placeholder for modelId
model_id = "<enter model id here>" 
# Placeholder for offerId
offer_id = "<enter offer id here>"
try:
    # offerType= "ALL" means both public and private offers, if offerType isn't defined, the default would be "PUBLIC"
    model_agreement_offers_response = bedrock_client.list_foundation_model_agreement_offers(modelId=model_id,offerType="ALL")
    print(model_agreement_offers_response)
except ClientError as e:
    print(f"Failed to list foundation model offers for modelId: {model_id} due to the following error: {e}")

Fase 2: [Richiesto una sola volta solo per i modelli Anthropic] Esempio di utilizzo per l'utente alle prime armi

Utilizzato per inserire il modulo di caso d'uso per il primo utente richiesto solo per i modelli Anthropic. Questo è un prerequisito per accedere ai modelli Anthropic nell'account. Questa API è richiesta solo una volta per account o per organizzazione AWS in tutte le regioni commerciali, ad eccezione delle regioni opt-in in cui questo modulo deve essere compilato nuovamente.

Documentazione

AWS CLI
aws bedrock put-use-case-for-model-access \
  --form-data <Base64EncodedFormData>
Python
# Placeholder for form data, replace the names
COMPANY_NAME = "<enter company name here>"
COMPANY_WEBSITE = "<enter company website here>"
INTENDED_USERS = "1" #for external users
INDUSTRY_OPTION = "<enter industry option here>"
OTHER_INDUSTRY_OPTION = "<enter other industry option here>"
USE_CASES = "<enter use cases here>"
form_data = {
    "companyName": COMPANY_NAME,
    "companyWebsite": COMPANY_WEBSITE,
    "intendedUsers": INTENDED_USERS,
    "industryOption": INDUSTRY_OPTION,
    "otherIndustryOption": OTHER_INDUSTRY_OPTION,
    "useCases": USE_CASES
}
form_data_json = json.dumps(form_data)
model_access_response = bedrock_client.put_use_case_for_model_access(formData=form_data_json)

Per la CLI, i dati del modulo sono json con codifica base64 del modulo seguente.

{
    "companyName": COMPANY_NAME,
    "companyWebsite": COMPANY_WEBSITE,
    "intendedUsers": INTENDED_USERS,
    "industryOption": INDUSTRY_OPTION,
    "otherIndustryOption": OTHER_INDUSTRY_OPTION,
    "useCases": USE_CASES
}

  • COMPANY_NAME: stringa con lunghezza massima di 128

  • COMPANY_WEBSITE: Stringa con una lunghezza massima di 128

  • UTENTI PREVISTI: 0, 1 o 2. 0: interno, 1: esterno, 2: interno ed esterno

  • INDUSTRY_OPTION: stringa con lunghezza massima di 128

  • OTHER_INDUSTRY_OPTION: Stringa con lunghezza massima di 128

  • USE_CASES: Stringa con lunghezza massima di 8192

Fase 3: Creare un accordo modello di base

Utilizzato per creare un accordo (accesso) per il modello di base. Usa il token dell'offerta e il modelID dall'alto.

Documentazione

AWS CLI
aws bedrock create-foundation-model-agreement \
  --model-id <ModelId> \
  --offer-token <OfferToken>
Python
offer_token= ''

for agreement_offer in model_agreement_offers_response['offers']:
    if  agreement_offer['offerId'] == offer_id:
            
            offer_token = agreement_offer['offerToken']
            print(f"offer token found. Offer token is {offer_token}")
            break


if(not offer_token):
    print(f"Offer token for  modelId: {model_id} is not found")
    
foundation_model_agreement_reponse = bedrock_client.create_foundation_model_agreement(offerToken= offer_token , modelId= model_id)

Fase 4: Ottenete la disponibilità del modello di base

Utilizzato per verificare se il modello di base ha attualmente accesso o meno. Usa il modelID dall'alto.

Documentazione

AWS CLI
aws bedrock get-foundation-model-availability \
  --model-id <ModelId>
Python
model_availability_response = bedrock_client.get_foundation_model_availability(modelId=model_id)
Risposta prevista

agreementAvailability- AVAILABLE se l'accesso NOT_AVAILABLE esiste, l'accesso non esiste.

{
  "modelId": "anthropic.claude-sonnet-4-20250514-v1:0",
  "agreementAvailability": {
    "status": "AVAILABLE"
  },
  "authorizationStatus": "AUTHORIZED",
  "entitlementAvailability": "AVAILABLE",
  "regionAvailability": "AVAILABLE"
}

[Facoltativo] Fase 5: Eliminare il contratto modello di base

Utilizzato per eliminare il contratto modello di base (accesso). Usa il modelID dall'alto.

Nota

L'eliminazione dell'accesso al modello non è sufficiente per bloccare l'accesso in futuro, poiché richiamare il modello creerà nuovamente l'accesso. Per assicurarti che l'accesso non venga creato nuovamente, applica politiche restrittive di deny IAM per il modello.

Documentazione

AWS CLI
aws bedrock delete-foundation-model-agreement \
  --model-id <ModelId>
Python
delete_foundation_model_agreement_reponse = bedrock_client.delete_foundation_model_agreement(modelId= model_id)

Accedi ai modelli Amazon Bedrock Foundation in AWS GovCloud (Stati Uniti)

Gli account AWS GovCloud (Stati Uniti) sono collegati su one-to-one base agli account commerciali AWS standard. Questo account commerciale collegato viene utilizzato per la fatturazione, l'accesso al servizio, per scopi di supporto e l'accesso ad Amazon Bedrock Model Marketplace. Per ulteriori informazioni sulla relazione tra account commerciali GovCloud e account, consulta Standard Account Linking in AWS GovCloud (Stati Uniti).

Per i modelli di terze parti, l'accesso al modello deve essere abilitato sia nell'account commerciale AWS collegato che nell' GovCloud account AWS. Per i modelli forniti da Amazon Bedrock, l'accesso al modello deve essere abilitato solo nell' GovCloud account. Questo è un processo manuale.

Abilitazione dell'accesso ai modelli per AWS GovCloud nell'account commerciale AWS collegato (solo per modelli di terze parti)

L'accesso al modello può essere abilitato in un account commerciale AWS in 2 modi:

  1. Richiama il modello richiesto per l'account commerciale AWS nella us-east-1 nostra us-west-2 regione.

  2. Abilita in modo programmatico l'accesso al modello utilizzando l'account commerciale SDK/CLI AWS nella nostra regioneus-east-1. us-west-2 Questo può essere fatto seguendo i passaggi descritti nelle sezioni precedenti.

Abilitazione dell'accesso al modello per l' GovCloud account AWS

In AWS GovCloud (Stati Uniti), utilizzi la pagina di accesso ai modelli nella console Amazon Bedrock della us-gov-west-1 regione per abilitare i modelli di base come descritto di seguito:

  1. Assicurati di disporre delle autorizzazioni per richiedere l'accesso al modello, richiedere l'accesso o modificare l'accesso ai modelli Amazon Bedrock Foundation. Si consiglia di allegare la AmazonBedrockFullAccesspolicy a quella in uso. user/role

  2. Accedi alla console Amazon Bedrock nella us-gov-west-1 regione all'indirizzo https://console.aws.amazon.com/bedrock/.

  3. Dal riquadro di navigazione a sinistra, in Configurazioni Bedrock, seleziona Accesso al modello.

  4. Nella pagina Accesso al modello, scegli Modifica l’accesso al modello.

  5. Seleziona i modelli a cui desideri che l’account abbia accesso e deseleziona i modelli a cui non desideri che l’account abbia accesso. Sono disponibili le seguenti opzioni:

    1. Assicurati di leggere il contratto di licenza con l’utente finale (EULA) per i termini e le condizioni di utilizzo di un modello prima di richiederne l’accesso.

    2. Seleziona la casella di controllo accanto a un singolo modello per selezionarlo o deselezionarlo.

    3. Seleziona la casella di controllo in alto per selezionare o deselezionare tutti i modelli.

    4. Seleziona il modo in cui i modelli sono raggruppati, quindi seleziona o deseleziona tutti i modelli di un gruppo selezionando la casella di controllo accanto al gruppo. Ad esempio, puoi scegliere di Raggruppare per provider e quindi selezionare la casella di controllo accanto a Cohere per selezionare o deselezionare tutti i modelli Cohere.

  6. Scegli Next (Successivo).

  7. Se aggiungi l'accesso ai modelli Anthropic, devi descrivere i dettagli del tuo caso d'uso. Scegli Invia dettagli dei casi d’uso, compila il modulo, quindi seleziona Invia modulo. La notifica di accesso viene concessa o negata in base alle risposte fornite durante la compilazione del modulo per il provider.

  8. Controlla le modifiche di accesso che apporti, quindi leggi i Termini.

  9. Se accetti i termini, scegli Invia. Le modifiche possono richiedere diversi minuti prima di essere applicate alla console.

  10. Se la richiesta ha esito positivo, lo Stato dell’accesso cambia in Accesso concesso o Disponibile per la richiesta.